Meerdere vermoedelijke Rusland-gekoppelde dreigingsactoren zijn “agressief” gericht op individuen en organisaties met banden met Oekraïne en mensenrechten met als doel ongeoorloofde toegang tot Microsoft 365-accounts te krijgen sinds begin maart 2025.
De zeer gerichte sociale engineeringactiviteiten, volgens Volexity, zijn een verschuiving van eerder gedocumenteerde aanvallen die een techniek die bekend staat als apparaatcode phishing, benutten om dezelfde doelen te bereiken, wat aangeeft dat Russische tegenstanders hun handel actief verfijnen.
“Deze recent waargenomen aanvallen zijn sterk afhankelijk van één-op-één interactie met een doelwit, omdat de dreigingsacteur hen beide moet overtuigen om op een link te klikken en een door Microsoft gegenereerde code terug te sturen,” zeiden beveiligingsonderzoekers Charlie Gardner, Josh Duke, Matthew Meltzer, Sean Koesel, Steven Adair, Steven Adair, Steven Adair, Steven Adair, Steven Adair, Steven Adair, Steven Adair, Steven Adair, Steven Adair, Steven Adair en Tom Lancaster, in een uitputtende analyse.
Ten minste twee verschillende bedreigingsclusters gevolgd als UTA0352 En UTA0355 worden beoordeeld als achter de aanvallen, hoewel de mogelijkheid dat ze ook verband kunnen houden met APT29, UTA0304 en UTA0307 niet is uitgesloten.
De nieuwste reeks aanvallen wordt gekenmerkt door het gebruik van een nieuwe techniek die gericht is op het misbruiken van legitieme Microsoft OAuth 2.0 -authenticatieworkflows. De dreigingsactoren die zich voordoen als ambtenaren van verschillende Europese landen en is gevonden dat ze profiteren van een gecompromitteerde Oekraïense overheidsrekening, ten minste in één geval om slachtoffers te misleiden om een door Microsoft gegenereerde OAuth-code te bieden om de controle over hun accounts te nemen.
Berichten -apps zoals Signal en WhatsApp worden gebruikt om contact op te nemen met doelen, die hen uitnodigen om deel te nemen aan een videogesprek of zich te registreren voor privébijeenkomsten met verschillende nationale Europese politieke functionarissen of voor aankomende evenementen die rond Oekraïne zijn gericht. Deze inspanningen proberen slachtoffers te duperen om te klikken op links die zijn gehost op Microsoft 365 -infrastructuur.
“Als het doelwit op berichten zou reageren, zou het gesprek snel verder gaan in de richting van het daadwerkelijk plannen van een overeengekomen tijd voor de vergadering,” zei Volexity. “Naarmate de overeengekomen vergadertijd naderde, zou de vermeende Europese politieke functionaris opnieuw contact opnemen en instructies delen over hoe u zich aan de vergadering kunt aansluiten.”
De instructies nemen de vorm aan van een document, waarna de veronderstelde functionaris een link naar het doelstuur stuurt om deel te nemen aan de vergadering. Deze URL’s worden allemaal doorgeleid naar het officiële inlogportaal voor Microsoft 365.
In het bijzonder zijn de geleverde links ontworpen om om te leiden naar officiële Microsoft -URL’s en een Microsoft -autorisatietoken te genereren in het proces, dat dan zou verschijnen als onderdeel van de URI of binnen het lichaam van de omleidingspagina. De aanval probeert vervolgens het slachtoffer te misleiden om de code te delen met de dreigingsacteurs.
Dit wordt bereikt door de geverifieerde gebruiker om te leiden naar een in-browserversie van Visual Studio Code bij Insiders.vscode (.) Dev waar het token aan de gebruiker wordt weergegeven. Als het slachtoffer de OAuth -code deelt, gaat UTA0352 door met het genereren van een toegang token dat uiteindelijk toegang heeft tot het M365 -account van het slachtoffer.
Volexity zei dat het ook een eerdere iteratie van de campagne heeft waargenomen die gebruikers omleidt naar de website “vScode-redirect.azureWebsites (.) Net”, die op zijn beurt omleidt naar het localhost IP-adres (127.0.0.1).
“Wanneer dit gebeurt, in plaats van een gebruikersinterface met de autorisatiecode op te geven, is de code alleen beschikbaar in de URL,” legden de onderzoekers uit. “Dit levert een lege pagina op wanneer deze wordt weergegeven in de browser van de gebruiker. De aanvaller moet de gebruiker de URL van zijn browser delen om de aanvaller de code te verkrijgen.”
Een andere sociale engineeringaanval die begin april 2025 is geïdentificeerd, zou UTA0355 hebben betrokken bij het gebruik van een reeds gecompromitteerd Oekraïense e-mailaccount van de overheid om speer-phishing-e-mails naar doelen te sturen, gevolgd door het verzenden van berichten over signaal en WhatsApp.
Deze berichten nodigden doelen uit om deel te nemen aan een videoconferentie met betrekking tot de inspanningen van Oekraïne met betrekking tot beleggen en het vervolgen van “gruwelijke misdaden” en de samenwerking van het land met internationale partners. Hoewel de uiteindelijke intentie van de activiteit hetzelfde is als UTA0352, is er een cruciaal verschil.
De dreigingsacteurs, zoals in het andere geval, misbruiken de legitieme Microsoft 365 -authenticatie -API om toegang te krijgen tot de e -mailgegevens van het slachtoffer. Maar de gestolen OAuth -autorisatiecode wordt gebruikt om een nieuw apparaat te registreren bij de Microsoft Entra ID van het slachtoffer (voorheen Azure Active Directory) permanent.
In de volgende fase orkestreert de aanvaller een tweede ronde van sociale engineering om de doelen te overtuigen om een tweefactor-authenticatieaanvraag goed te keuren en het account te kapen.
“In deze interactie heeft UTA0355 verzocht om het slachtoffer een verzoek om twee factor authenticatie (2FA) goed te keuren om ’toegang te krijgen tot een SharePoint-instantie die aan de conferentie is gekoppeld’,” zei Volexity. “Dit was vereist om aanvullende beveiligingsvereisten te omzeilen, die door de organisatie van het slachtoffer werden ingevoerd om toegang te krijgen tot hun e -mail.”
Wat de aanval ook bijzonder effectief maakt, is dat de inlogactiviteit, e -mailtoegang en apparaatregistratie worden gerouteerd via proxy -netwerken geoloceerd om overeen te komen met de locatie van het slachtoffer, waardoor de detectie -inspanningen verder worden gecompliceerd.
Om deze aanvallen te detecteren en te beperken, wordt organisaties geadviseerd om nieuw geregistreerde apparaten te controleren, gebruikers te informeren over de risico’s die verband houden met ongevraagde contacten op berichtenplatforms en voorwaardelijk toegangsbeleid te implementeren dat de toegang tot organisatorische middelen beperkt tot goedgekeurde of beheerde apparaten.
“Deze recente campagnes profiteren van alle gebruikersinteracties die plaatsvinden op de officiële infrastructuur van Microsoft; er is geen aan aanvallers gehost-infrastructuur gebruikt bij deze aanvallen,” voegde het bedrijf eraan toe.
“Evenzo omvatten deze aanvallen geen kwaadaardige of aanvaller-gecontroleerde OAuth-applicaties waarvoor de gebruiker expliciet toegang moet verlenen (en dus gemakkelijk kan worden geblokkeerd door organisaties). Het gebruik van Microsoft first-party-applicaties die al toestemming hebben verleend, heeft bewezen om preventie en detectie van deze techniek nogal moeilijk te maken.”
